发现MSE无法监控到沙盘sandboxie中的IE下载的病毒

显示全部楼层 · 发表于 2011-5-1 22:07:52

回复 10楼 wy1091727248 的帖子

你用沙盘下载一个可执行的恶意软件试试就知道了

显示全部楼层 · 发表于 2011-5-1 22:16:59

本帖最后由 wy1091727248 于 2011-5-1 22:17 编辑

回复 11楼あ掵㊣峫淰℡ 的帖子

还真是，实践是检验真理的唯一标准，小平同志说得好啊。
可是，为什么楼主的描述不是那回事呢

难道我理解有问题

显示全部楼层 · 发表于 2011-5-1 22:17:29

但在沙盘内下载压缩包类病毒就不报了
加上之前chrome的情况我初步猜想 MSE会将IE下载到IE缓存中的病毒压缩包文件复制到MSE内置的某个文件内进行扫描再拷贝到目标目录当下载压缩包文件不在IE缓存内则不接管所以出现沙盘 chrome下载附件不报这仅仅是我的猜测有空就测试测试~

显示全部楼层 · 发表于 2011-5-1 22:27:25

回复 13楼 hj5abc 的帖子

chrome这个事比较纠结啊，我还真搞不懂MSE防不防护，看这个http://bbs.kafan.cn/thread-968320-1-1.html，7楼，我当时就傻眼了。

显示全部楼层 · 发表于 2011-5-1 22:39:41

回复 14楼 wy1091727248 的帖子

我有空试验下现在已经有初步猜测了而且可能性很大看13L

显示全部楼层 · 发表于 2011-5-2 09:23:34

回复 15楼 hj5abc 的帖子

正常下载带毒压缩包，chrome会下载在浏览器的缓存路径（下载到其它路径时chrome应该还是会下载到缓存路径，因为我下载病毒包后扫描chrome缓存路径报毒过）mse支持识别这个路径的扫描，所以mse报毒；

用沙盘下载压缩包，会下载到一个模拟C盘下的路径，mse不识别其路径就不进行附件扫描；

可执行文件无论怎么下载，mse的文件防护机制都会对其扫描

这是我的猜想

显示全部楼层 · 发表于 2011-5-2 11:54:02

本帖最后由 snakegtr 于 2011-5-2 11:54 编辑

可能还是跟网页防护机制有关，nod32有时会遇到刚下载一个文件就被隔离，而把文件全部下载完后却不报的情况。而mse用的不多，以前去样本区逛的时候nod32，红伞等对于个别病毒是无法下载直接网页隔离的，mse不清楚有没有这种情况

[其他事项] 发现MSE无法监控到沙盘sandboxie中的IE下载的病毒

评分